Traveler Server in DMZ oder über Reverse Proxy?

[Fitz]

Hallo Traveler Administrator,

die bestehenden Postings hier in Atnotes haben mich "Gefühlsmäßig" leider noch nicht weiter gebracht. Ich möchte einen Traveler Server aufsetzen und bin mir nicht sicher wie ich es machen soll.

Daher meine Fragen an Euch:
Wo habt IHR den Traveler Service am laufen? Angebunden über einen Reverse Proxy oder direkt in der DMZ?

Welchen "gewaltigen" Vorteil hat denn ein Reverse Proxy? Wieviel Mehraufwand ist erforderlich? Gibt es evtl. Einschränkungen?
Ist ein Notes Server in einer DMZ der per nur https erreichbar ist "grundsätzlich" ein NoGo?

Diese Fragen kamen mir auf als ich das (tolle!) Best Practice PDF von Paul Mooney & Gabriella Davis durchlass
http://www.pmooney.net/2012/01/lotus-traveler-level-up-download-here/

Hier ein Auszug daraus:

Direct connection - Traveler Server in DMZ

• Traveler server placed in DMZ
-Mail files are not on the Traveler server
• Accessed directly
-Via http(s)
-Port 80/443
• Access mail servers
-Port 1352
• Replication
-Port 1352 (bi directional)

• Pros
-Relatively simple setup
-Only a DMZ required
-No other appliance/software/hardware cost required
• Cons
-Ability to be least secure
-Is your OS hardened
-Is Domino hardened
-Your Domino server will be available on the internet
-What do you do when you see a .nsf site on the internet?
-Be honest....

--------------

Reverse proxy connection - reverse Proxy in DMZ

• Traveler configured on LAN
• Reverse proxy deployed in DMZ
• Devices authenticate through reverse proxy
-Reverse proxy must support 1.2 times the amount of devices
-Long running sessions
-“constantly” active
-Reverse proxy must respond with standard HTTP response codes
-e.g. 401 for authentication failure as opposed to custom form
-Devices will not understand custom form
• Modify the server document for the Traveler server to point to the reverse proxy

• Pros
-More secure
-Domino server not available on the internet directly
-Relatively easy to setup
-Requires more configuration work on the Traveler side
-Multi functional
-If you setup a reverse proxy, you ca use it for many things
• Cons
-More cost
-Reverse proxy software/hardware
-Keep in mind many standard reverse proxies will work
-IBM Mobile connect, Edge server for example
-More configuration work

Danke für Eure Infos!!!

Gruß
Bernd

[blizzard]

Kommt ganz auf den Laden an wo du arbeitest und wie sicher es sein soll.
Da du ja iphone und android syncen willst, kanns mit der Sicherheit nicht so hoch her sein. :-)

Wenn du dich für die DMZ entscheiden solltest, würde ich dir empfehlen den Server in einer extra Domain zu installieren. Somit hast du zwei Vorteile auf der Hand, du bist erstens nicht auf deine Domain angewiesen wenn du Updates fahren willst für Traveler und nicht gleichzeitig die komplette Domino Domain anheben willst und zweitens steht nicht direkt dein komplettes names.nsf etc. in der DMZ. Anbindung könnte man dann über dircat machen.

Ich persönlich betreibe den Traveler bei uns in der Domain und ebenfalls nicht in der DMZ. Habe MobileIron zur Verwaltung und Absicherung davor. Ist zwar alles nicht so toll wie BlackBerry, aber wenns die Golfspieler haben wollen, muss mans wohl machen, dann aber wenigstens annähernd so sicher wie BlackBerry.

[Fitz]

Hallo Matthias,

Danke für Deine Infos. Ich habe mich für folgende Implementation entschieden:

Reverse Proxy in der DMZ - Traveler Server im LAN - Domino in einer extra Domain (Adressbuch Abindung mittels dircat / da.nsf)

Das ist zwar der "höchste" Aufwand aber dann ist hoffentlich der Sicherheit genüge getan 

Danke und Gruß
Bernd

[blizzard]

aber dann ist hoffentlich der Sicherheit genüge getan

hängt ganz vom reverse Proxy ab. Wenn ihr da bereits ne WAF oder sowas in der Art habt, dann wunderbar. Wenn du erst anfängst mit nem Apache rumzubauen, dann weiss ich nicht ob das andere nicht doch sinnvoller wäre.

[Fitz]

Hallo Matthias,

den Reverse Proxy wollte ich im zweiten Schritt installieren, nachdem der Traveler Server "intern" sauber läuft.
Wir haben keinen Reverse Proxy im Einsatz und ich muß zugeben dass ich keine Erfahrung damit habe. Geplant hatte ich den NGINX.org Proxy zu nehmen. Ist denn eine sichere Proxy Konfiguration extrem schwierig hinzubekommen? Parallel werde ich mal nach einem Partner Ausschau halten.

Danke und Gruß
Bernd

[Joga]

unser Traveler steht in der DMZ, von aussen nur https, in Richtung LAN lediglich Port 1352 auf den Durchgangsserver, bis auf das NAB und die administrativen DB, ist er leer und die ACL's "dicht"